Drift Protocol Hack 2026: Ano ang Nangyari, Sino ang Nawalan ng Pera, at Ano ang Susunod

Pinaghihinalaang DPRK Lazarus Group sa $286 Milyong Pagnanakaw sa Solana ng Drift Protocol

Kinumpirma ng Drift Protocol, ang pinakamalaking decentralized perpetual futures exchange sa Solana network, ang exploit matapos nitong makita ang total value locked (TVL) nito na gumuho mula humigit-kumulang $550 milyon hanggang sa mas mababa sa $250 milyon sa loob ng isang umaga, at ngayon ay nasa $232 milyon. Ang Bitcoin.com News ang unang nag-ulat tungkol sa isyu. Bumagsak ang DRIFT token nang hanggang 37%–42% sa mga sumunod na oras, na umabot sa pinakamababa sa bandang $0.04 hanggang $0.05.

Binanggit sa mga ulat na ang pag-atake ay nagsimula hindi sa isang code bug kundi sa isang pag-withdraw sa Tornado Cash. Noong Marso 11, nag-withdraw ang umaatake ng ETH mula sa privacy protocol na nakabase sa Ethereum at ginamit ang mga pondong iyon upang i-deploy ang carbonvote token, o CVT, noong Marso 12. Napansin ng mga blockchain analyst na ang timestamp ng deployment ay tumugma sa humigit-kumulang 09:00 oras sa Pyongyang, isang detalye na agad nagtaas ng mga red flag.

Ilang ulat ang nagdedetalye na sa sumunod na tatlong linggo, ang umaatake ay nag-seed ng minimal na liquidity para sa CVT sa Raydium decentralized exchange at gumamit ng wash trading upang panatilihin ang presyong malapit sa $1.00. Binasa ng mga oracle ng Drift ang presyong iyon bilang lehitimo. Nakabuo ang umaatake ng pekeng kolateral na mukhang tunay sa bawat automated system na tumitingin dito.

“Mas maaga ngayong araw, isang malicious actor ang nakakuha ng hindi awtorisadong access sa Drift Protocol sa pamamagitan ng isang bagong uri ng pag-atake na kinasasangkutan ng durable nonces, na nagresulta sa mabilisang pag-takeover sa mga kapangyarihang administratibo ng Security Council ng Drift,” isinulat ng Drift team.

Idinagdag ng X account ng proyekto:

“Isa itong lubhang sopistikadong operasyon na tila kinasangkutan ng paghahandang tumagal ng maraming linggo at naka-entabladong pagpapatupad, kabilang ang paggamit ng durable nonce accounts upang i-pre-sign ang mga transaksyong naantala ang execution.”

Sa madaling sabi, sa pagitan ng Marso 23 at Marso 30, lumipat ang Drift attacker sa human layer. Gamit ang isang lehitimong feature ng Solana na tinatawag na durable nonces, iniulat na naudyok ng umaatake ang mga miyembro ng multisig ng Security Council ng Drift na mag-pre-sign ng mga transaksyong mukhang pangkaraniwan. Ang mga pirma na iyon ay naging mga pre-approved access key, na itinabi hanggang handa na ang umaatake.

Nagsara ang pagbubukas noong Marso 27, nang inilipat ng Drift ang Security Council nito sa 2-of-5 signature threshold at tuluyang inalis ang timelock nito. Karaniwang pinipilit ng timelock ang 24-to-72-oras na delay sa mga administratibong aksyon, na nagbibigay ng oras sa komunidad upang mahuli at baliktarin ang anumang kahina-hinala. Kung wala ito, nagkaroon ang umaatake ng zero-delay na awtoridad sa execution. Naging live ang mga pre-signed na transaksyon sa mismong sandaling nawala ang timelock.

Noong Abril 1, in-activate ng umaatake ang mga transaksyong iyon, inilista ang CVT bilang valid na kolateral, tinaasan ang mga withdrawal limit, at nagdeposito ng daan-daang milyon sa CVT tokens laban sa kung saan naglabas ang risk engine ng Drift ng mga totoong asset. Ipinasa ng protocol ang milyun-milyong JLP tokens, milyun-milyong USDC, milyun-milyong SOL, at mas maliliit na halaga ng wrapped bitcoin at ethereum. Tatlumpu’t isang withdrawal transaction ang nakalusot sa loob ng humigit-kumulang 12 minuto.

Kinonvert ng umaatake ang mga ninakaw na token sa USDC gamit ang Jupiter, nag-bridge papuntang Ethereum, at nag-swap sa sampu-sampung libong ETH. Ang ilang pondo ay dumaan sa Hyperliquid, at may bahagi na direktang inilipat sa Binance. Noong Abril 3, nagpadala ang Drift ng onchain message mula sa isang Ethereum address papunta sa apat na wallet na kontrolado ng hacker. Iniulat ng publikasyong cryptonomist.ch na ang mensahe ay nagsabi:

“Handa na kaming makipag-usap.”

Iniuugnay ng mga security firm na Elliptic at TRM Labs ang pag-atake sa mga threat actor na konektado sa DPRK, na binabanggit ang pinagmulan sa Tornado Cash, ang deployment signature na naka-time sa Pyongyang, ang pokus sa social engineering, at ang bilis ng laundering pagkatapos ng hack. Ginamit ng Lazarus Group ang parehong tiyaga at human-targeting na approach sa 2022 Ronin bridge hack. Iniugnay ng gobyerno ng U.S. ang mga pagnanakaw na ito sa pagpopondo ng weapons program ng North Korea, at nasubaybayan ng Elliptic ang mahigit $300 milyon na ninakaw sa unang quarter pa lamang ng 2026.

Kumalat ang epekto sa mahigit 20 protocol. Nag-ulat ang Prime Numbers Fi ng pagkalugi na umaabot sa milyon-milyon. Pansamantalang itinigil ng Carrot Protocol ang mga function na mint at redeem matapos maapektuhan ang 50% ng TVL nito. Tuluyang dineactivate ng Pyra Protocol ang withdrawals, kaya’t hindi ma-access ang lahat ng pondo ng user. Nawalan ang Piggybank ng $106,000 at nireimburse ang mga user mula sa sarili nitong team treasury.

Ang DeFi Development Corp., isang Nasdaq-listed na kumpanya na may Solana treasury strategy, ay nagkumpirma noong Abril 1 na wala itong exposure sa Drift. Ganap na ibinukod ng risk framework nito ang protocol. Ang katotohanang iyon ang umani ng mas maraming atensyon kaysa sa malamang na inaasahan ng kumpanya.

Nagbunga ang insidente sa Drift ng isang malinaw na aral na alam na ng karamihan sa industriya ngunit hindi pa ganap na naipapatupad: hindi opsyonal ang timelock. Ang pag-alis sa nag-iisang safeguard na iyon noong Marso 27 ang nag-convert ng isang komplikado, maraming-linggong pag-atake tungo sa isang 12-minutong cash-out. Ang pamamahala ng protocol na walang delay mechanism ay pamamahala na may bukas na pinto.

Inilarawan ang susunod na 48 oras pagkatapos ng DeFi attack bilang kritikal para sa kakayahan ng Drift na mapanatili ang tiwala ng user at maglatag ng landas sa pagbangon. Hanggang Abril 3, wala pang inihahayag na komprehensibong reimbursement plan.

FAQ 🔎

• Ano ang nangyari sa Drift Protocol? Nag-drain ang mga umaatake ng $286 milyon mula sa Drift Protocol noong Abril 1, 2026, gamit ang pekeng kolateral at mga na-pre-sign na administratibong transaksyon upang maubos ang mga pangunahing vault ng protocol sa loob ng 12 minuto.
• Sino ang responsable sa pag-hack ng Drift Protocol? Iniuugnay ng mga security firm, kabilang ang Elliptic at TRM Labs, ang pag-atake sa mga threat actor na konektado sa DPRK, na binabanggit ang mga pattern ng laundering at mga onchain timestamp na tugma sa tradecraft ng Lazarus Group.
• Ligtas ba ang pera ko sa Drift Protocol? Sinuspinde ng Drift ang lahat ng deposito at withdrawals kasunod ng pag-atake; ang mga user sa mga apektadong protocol tulad ng Pyra at Carrot ay hindi pa rin ma-access ang mga pondo hanggang Abril 3, 2026.
• Ano ang durable nonce attack sa Solana DeFi? Ang durable nonce attack ay gumagamit ng lehitimong feature ng Solana upang i-pre-sign ang mga transaksyong mukhang pangkaraniwan, at itinatago ang mga ito bilang mga live authorization key hanggang piliin ng umaatake na i-execute ang mga ito.